Windows 2000/2003server 域和活動(dòng)目錄本文的目的，是作為域和AD 的一篇入門(mén)文章，使沒(méi)有安裝過(guò)域，或剛剛接觸域的年輕網(wǎng)管能對(duì)域和AD 有一個(gè)全面的了解，并利用此文入門(mén)，將所管理的

Windows 2000/2003server 域和活動(dòng)目錄

本文的目的，是作為域和AD 的一篇入門(mén)文章，使沒(méi)有安裝過(guò)域，或剛剛接觸域的年輕網(wǎng)管能對(duì)域和AD 有一個(gè)全面的了解，并利用此文入門(mén)，將所管理的網(wǎng)絡(luò)實(shí)現(xiàn)一個(gè)基于域的管理模式。

一、認(rèn)識(shí)Windows 的域

本小節(jié)重點(diǎn)從理論上闡述域的概念、作用和Windows 中域的產(chǎn)生。

一臺(tái)Windows 計(jì)算機(jī)，它要么隸屬于工作組，要么隸屬于域。所以說(shuō)到域，我們就不得不提一下工作組，工作組是MS 的概念，一般的普遍稱(chēng)謂是對(duì)等網(wǎng)。工作組通常是一個(gè)由不多于10臺(tái)計(jì)算機(jī)組成的邏輯集合，如果要管理更多的計(jì)算機(jī)，MS推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動(dòng)目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10臺(tái)只是一個(gè)參考值，11臺(tái)甚至20臺(tái)，如果你不想進(jìn)行集中的管理，那么你仍然可以使用工作組模式。

工作組的特點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單，不需要域控制器DC，每臺(tái)計(jì)算機(jī)自己管理自己，適用于距離很近的有限數(shù)目的計(jì)算機(jī)。另外工作組名并沒(méi)有太多的實(shí)際意義，只是在網(wǎng)上鄰居的列表中實(shí)現(xiàn)一個(gè)分組而已；再就是對(duì)于“計(jì)算機(jī)瀏覽服務(wù)”，每一個(gè)工作組中，會(huì)自動(dòng)推選出一個(gè)主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計(jì)算機(jī)的NetBIOS 名稱(chēng)列表。用戶(hù)可以使用默認(rèn)的workgroup，也可以任意起個(gè)名字，同一工作組或不同工作組在訪問(wèn)時(shí)也沒(méi)有什么分別。域（Domain）是一個(gè)共用“目錄服務(wù)數(shù)據(jù)庫(kù)”的計(jì)算機(jī)和用戶(hù)的集合，實(shí)現(xiàn)起來(lái)要復(fù)雜一些，至少需要一臺(tái)計(jì)算機(jī)安裝NT/2000/03Server 版本使其充當(dāng)DC，來(lái)實(shí)現(xiàn)集中式的管理。

若考慮到容錯(cuò)的話，至少需要兩臺(tái)。對(duì)于NT4域就是一臺(tái)PDC（具有唯一性），一至多臺(tái)BDC，對(duì)于2000/03域，已經(jīng)沒(méi)有PDC 和BDC 的概念，要容錯(cuò)就需要兩至多臺(tái)DC。

域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o(wú)關(guān)，可以很小，比如只有一臺(tái)DC；也可以很大，包括遍布世界各地的計(jì)算機(jī)，比如大型跨國(guó)公司網(wǎng)絡(luò)上的域（當(dāng)然實(shí)際中他們多采用多域結(jié)構(gòu)，還可以利用AD 站點(diǎn)來(lái)優(yōu)化AD 復(fù)制）。

這個(gè)“目錄服務(wù)數(shù)據(jù)庫(kù)”，在NT4時(shí)，保存用戶(hù)帳號(hào)名稱(chēng)和密碼等安全安全信息，以及安全規(guī)則設(shè)置，又被稱(chēng)作安全帳號(hào)管理（SAM）數(shù)據(jù)庫(kù)，簡(jiǎn)稱(chēng)SAM 庫(kù)。在非DC 上的本地的SAM 庫(kù)與DC 上域所用的SAM 庫(kù)類(lèi)似，只不過(guò)對(duì)于NT4域的SAM 庫(kù)文件，保存有整個(gè)域的用戶(hù)和計(jì)算機(jī)，用“域用戶(hù)管理器”和“服務(wù)器管理器”來(lái)管理，本地的SAM 庫(kù)文件，保存有本地機(jī)的用戶(hù)，由“用戶(hù)管理器”來(lái)管理。

從2000開(kāi)始，MS引入了活動(dòng)目錄AD，DC通過(guò)AD 來(lái)提供目錄的服務(wù)，例如它負(fù)責(zé)維護(hù)AD 數(shù)據(jù)庫(kù)、審核用戶(hù)的賬戶(hù)和密碼是否正確、將AD 數(shù)據(jù)庫(kù)復(fù)制到其它的DC 等。AD庫(kù)的核心文件就是winntntdsntds.dit文件。注意組策略的具體設(shè)置值，并不存在這個(gè)文件中，而是保存在winntsysvolsysvol這個(gè)共享夾下，用于向其它DC 復(fù)制，傳播給域成員，來(lái)

生效。但需要說(shuō)明的是：2000/XP/03的非DC 域成員計(jì)算機(jī)上仍使用和NT4一樣的SAM 庫(kù)文件來(lái)保存本地帳號(hào)。

正是由于所有域成員計(jì)算機(jī)和域用戶(hù)都共用這個(gè)域的“目錄服務(wù)數(shù)據(jù)庫(kù)”，域管理員就可以基于域的“目錄服務(wù)數(shù)據(jù)庫(kù)”來(lái)進(jìn)行集中管理、共享資源，如用戶(hù)、組、計(jì)算機(jī)帳號(hào)、權(quán)限設(shè)置、組策略設(shè)置等等。目錄服務(wù)為管理員提供從網(wǎng)絡(luò)上任何一個(gè)計(jì)算機(jī)上查看和管理用戶(hù)和網(wǎng)絡(luò)資源的能力。目錄服務(wù)也為用戶(hù)提供唯一的用戶(hù)名和密碼，用戶(hù)只需一次登錄，即可訪問(wèn)本域或有信任關(guān)系的其它域上的所有資源（當(dāng)然用戶(hù)得有權(quán)限才行），而不需要多次提供用戶(hù)名和密碼登錄。

二、構(gòu)建Windows 2000的域

這個(gè)過(guò)程簡(jiǎn)單說(shuō)就是：選一臺(tái)2000S/AS計(jì)算機(jī)，運(yùn)行AD 安裝向?qū)?，在其上安裝活動(dòng)目錄，使其成為DC。然后將其它的計(jì)算機(jī)加入到這個(gè)域。

說(shuō)明：至于是用2000S，還是用2000AS，對(duì)于一般的用戶(hù)差別不大。2000S支持最多4個(gè)CPU，最大4G內(nèi)存；2000AS支持最多8個(gè)CPU，最大內(nèi)存8G，還支持群集功能。但這些我們一般用戶(hù)都用不到，所以對(duì)于普通用戶(hù)來(lái)說(shuō)，選擇S 或AS 都是一樣的。

1、系統(tǒng)要求

*一臺(tái)2000S或2000AS獨(dú)立或成員服務(wù)器，2000DS只有OEM 版，隨廠商硬件發(fā)售，平常我們是見(jiàn)不到的。

*其上必須有一個(gè)NTFS 5.0分區(qū)，用來(lái)保存AD 的sysvol 文件夾。注意：2000的NTFS 分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問(wèn)2000的NTFS 分區(qū)。

*網(wǎng)絡(luò)上必須有可用的DNS 服務(wù)器，并且必須支持SRV 記錄（ServiceLocaion Resource Record）和動(dòng)態(tài)更新功能。如：MSWin2000S DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4DNS 是不行的。

說(shuō)明：

構(gòu)建NT4域并不需要DNS 的支持，但2000域必須有DNS，且滿(mǎn)足上述要求。

SRV 記錄的作用是指明域和站點(diǎn)（site）的DC、PDC 仿真、GC 是誰(shuí)。動(dòng)態(tài)更新也是2000DNS的新特色，管理員不必再象NT4DNS 那樣手動(dòng)為計(jì)算機(jī)創(chuàng)建或修改相應(yīng)記錄，在域成員計(jì)算機(jī)重啟，或改名、改IP 時(shí)依賴(lài)周期性更新，自動(dòng)動(dòng)態(tài)實(shí)現(xiàn)。

如果沒(méi)有DNS 服務(wù)器的話，也不一定非得預(yù)裝DNS，可以在安裝AD 過(guò)程中，選擇在本機(jī)上安裝2000DNS。而且推薦初學(xué)者使用這種方法，因?yàn)橄到y(tǒng)會(huì)根據(jù)你提供的FQDN 域名，自動(dòng)創(chuàng)建好DNS 區(qū)域（zone），并配置成AD 集成區(qū)域，僅安全動(dòng)態(tài)更新。如果需要向外連或反向解析，用戶(hù)只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。

如果決定在安裝AD 過(guò)程中在本機(jī)安裝DNS，應(yīng)在安裝前，將本機(jī)TCP/IP配置/DNS服務(wù)器指向自己，這樣在安裝AD 完成后重啟時(shí)，SRV記錄將被自動(dòng)注冊(cè)到DNS 服務(wù)器的區(qū)域當(dāng)中去的，生成四個(gè)以下劃線開(kāi)頭的文件夾，如_msdcs，03DNS 在這里夾的層次結(jié)構(gòu)有所變化，但本質(zhì)沒(méi)變。當(dāng)然如果忘了指，也可以后補(bǔ)上，只不過(guò)需要多重啟一次。

2、安裝步驟、注意事項(xiàng)、常見(jiàn)問(wèn)題、經(jīng)驗(yàn)技巧

（1）啟動(dòng)AD 安裝向?qū)?/p>

方法一：開(kāi)始/程序/管理工具/配置服務(wù)器/Active Directory /啟動(dòng)AD 安裝向?qū)?。方法二：熟練后一般常用，開(kāi)始/運(yùn)行：dcpromo。

（2）安裝選項(xiàng)：指定服務(wù)器角色

三個(gè)界面，實(shí)現(xiàn)四種組合：

新域

附加DC

新樹(shù)

子域

新林

加入林

即：

*新域—新樹(shù)—新林

*附加DC

*新域—子域

*新域—新樹(shù)—加入林

全新安裝：新域—新樹(shù)—新林，這樣來(lái)建立第一個(gè)域中的第一臺(tái)DC。

2000的多域模型采用層次結(jié)構(gòu)，不同于NT4域的平面結(jié)構(gòu)，NT4的多個(gè)域之間只是通過(guò)信任關(guān)系關(guān)聯(lián)起來(lái)。接下來(lái)以下圖為例，對(duì)2000的域、樹(shù)、林進(jìn)行簡(jiǎn)要說(shuō)明：

ms.com

/trainning.mcse.com lotus.com

這整個(gè)是一個(gè)林，ms.com為林根域，有兩個(gè)樹(shù)，一個(gè)由ms.com 和它的子域

trainning.ms.com 組成，另一個(gè)由lotus.com 單獨(dú)組成，林中有ms.com，trainning.ms.com，lotus.com 三個(gè)域。相關(guān)概念如下：

林根域：在林中第一個(gè)建立的域，如：ms.com

樹(shù)：共用連續(xù)的命名空間的多層域，如ms.com 和trainning.ms.com

樹(shù)根域：樹(shù)最高層的域，名最短。如：ms.com

說(shuō)明：

2000可采用多層域結(jié)構(gòu)，但最有效、最簡(jiǎn)便的管理方法仍是單域，所以大家在實(shí)際工作中要記住一個(gè)原則“能用單域解決，就不用多域”。

再者2000AD是針對(duì)大中型網(wǎng)絡(luò)設(shè)計(jì)的，而我們一般管理的網(wǎng)絡(luò)也就幾百個(gè)節(jié)點(diǎn)，屬于小型網(wǎng)絡(luò)，一般來(lái)講用一個(gè)單域結(jié)構(gòu)就夠用了，不要人為將管理環(huán)境復(fù)雜化。在實(shí)驗(yàn)中，我們甚至可以一個(gè)林中只有一個(gè)樹(shù)，一個(gè)樹(shù)中只有一個(gè)域，一個(gè)域里只有一臺(tái)DC。

另外前面已經(jīng)說(shuō)過(guò)了，域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o(wú)關(guān)，不要總試圖規(guī)劃一個(gè)子網(wǎng)一個(gè)域。當(dāng)然實(shí)際中多個(gè)子網(wǎng)一個(gè)域，子網(wǎng)中若有95/98/NT老計(jì)算機(jī)，無(wú)法利用DNS 直接登錄到域，可以安裝一臺(tái)WINS 服務(wù)器解決問(wèn)題。將所有計(jì)算機(jī)，包括WINS 服務(wù)器本身的TCP/IP配置中的WINS 服務(wù)器指向此WINS 服務(wù)器即可。

（3）安裝選項(xiàng)：新域的DNS 全名

說(shuō)明：

在這里應(yīng)該輸入新域的完全有效域名FQDN，形如：mcse.com。系統(tǒng)會(huì)打算以mcse 作為此域的NetBIOS 名稱(chēng)，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會(huì)兒。不重名則設(shè)為mcse，建議用戶(hù)不要修改此名；重名則設(shè)為mcse0，建議用戶(hù)最好換個(gè)名字。這也就是說(shuō)，網(wǎng)絡(luò)中如果已有一個(gè)域，名字叫做mcse.org，也會(huì)出現(xiàn)NetBIOS 名稱(chēng)沖突的問(wèn)題。

（4）安裝選項(xiàng)：為新域指定一個(gè)NetBIOS 名稱(chēng)

說(shuō)明：

NetBIOS 名稱(chēng)，只是為95/98/NT等老版本用戶(hù)通過(guò)“瀏覽服務(wù)”或WINS 來(lái)識(shí)別這個(gè)域用的，如果確信域用戶(hù)都是2000及以上系統(tǒng)（它們通過(guò)DNS 定位域），其實(shí)NetBIOS 名稱(chēng)沖不沖突，都無(wú)所謂。

（5）安裝選項(xiàng)：指定AD 庫(kù)和日志文件位置

說(shuō)明：

如果僅是實(shí)驗(yàn)，用默認(rèn)值即可。若是在真正的服務(wù)器上，都會(huì)有多塊物理硬盤(pán)，最好分開(kāi)存放，以提高性能。另外需要強(qiáng)調(diào)的是：AD庫(kù)和日志文件并不要求非得NTFS 5.0分區(qū)，很多2000/03書(shū)在此語(yǔ)焉不詳。

（6）安裝選項(xiàng)：指定sysvol 文件夾位置

說(shuō)明：

是sysvol 這個(gè)文件夾要求必須得NTFS 5.0分區(qū)。在它當(dāng)中存儲(chǔ)有DC 間AD 要同步的內(nèi)容，包括組策略的設(shè)置值。

（7）這時(shí)網(wǎng)絡(luò)中若無(wú)可用DNS 服務(wù)器，就會(huì)出現(xiàn)提示：找不到DNS 服務(wù)器，需要考慮在本機(jī)上安裝一個(gè)DNS 服務(wù)器。可先不必理會(huì)，點(diǎn)“確定”，接下來(lái)選“是，在本機(jī)上安裝并配置DNS”。初學(xué)者在此不要選“否，我將自己安裝并配置DNS”。

（8）幾分后，安裝完成，需要重啟。

說(shuō)明：

若硬盤(pán)或網(wǎng)絡(luò)上沒(méi)有可用的2000S源文件，會(huì)提示要2000S光盤(pán)。

最好用新裝2000S來(lái)安裝AD，這樣不容易出問(wèn)題。如果你是用一個(gè)臺(tái)運(yùn)行了一段時(shí)間的2000S/AS，來(lái)安裝AD，使其成為DC。重啟及登錄時(shí)可能會(huì)很慢（有時(shí)可能長(zhǎng)達(dá)20分鐘），這是較常見(jiàn)的現(xiàn)象。一般2-3次以后就好了，如果多次重啟后還那樣，那就要重裝系統(tǒng)及AD 了。

3、域成員計(jì)算機(jī)

（1）將計(jì)算機(jī)加入到域

首先將客戶(hù)機(jī)TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。然后我的電腦/右鍵/屬性/網(wǎng)絡(luò)標(biāo)識(shí)/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶(hù)口和口令，確定后提示重啟。

說(shuō)明：

加入域時(shí)，如果輸入的域名為FQDN 格式，形如mcse.com，必須利用DNS 中的SRV 記錄來(lái)找到DC，如果客戶(hù)機(jī)的DNS 指的不對(duì)，就無(wú)法加入到域。

加入域時(shí)，如果輸入的域名為NetBIOS 格式，如mcse，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC，但它不是一個(gè)完善的服務(wù)，有時(shí)就會(huì)不好使。

這樣雖然也可把計(jì)算機(jī)加入到域，而且在等較長(zhǎng)時(shí)間后也可以登錄到域上去，但不推薦。因?yàn)榭蛻?hù)機(jī)的DNS 指的不對(duì)，則它無(wú)法利用2000DNS的動(dòng)態(tài)更新動(dòng)能，也就是說(shuō)無(wú)法在DNS 區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計(jì)算機(jī)就無(wú)法利用DNS 找到它，這本應(yīng)是可以的。

再者，管理員無(wú)法在客戶(hù)機(jī)上利用域的管理工具來(lái)遠(yuǎn)程管理域，因?yàn)檫@些管理工具必須使用DNS，出錯(cuò)提示：找不到域命名信息（有時(shí)客戶(hù)機(jī)的DNS Client 服務(wù)有問(wèn)題也會(huì)出現(xiàn)上述提示，重啟服務(wù)即可）。這種情況下，要進(jìn)行遠(yuǎn)程管理，就只能利用TS（終端服務(wù)）基于IP 來(lái)連了。

當(dāng)然用戶(hù)也可以手動(dòng)配置WINS 或Lmhosts 文件，來(lái)查找DC。這主要用于95/98/NT老版本計(jì)算機(jī)跨子網(wǎng)（路由）查找DC 或加入域，因?yàn)檫@些老版本計(jì)算機(jī)無(wú)法利用DNS 來(lái)查找DC，瀏覽服務(wù)又是廣播方式，只能在本網(wǎng)段進(jìn)行，因?yàn)閺V播信息是無(wú)法通過(guò)路由器的，RFC1542標(biāo)準(zhǔn)的路由器，可設(shè)置成允許DHCP 的廣播數(shù)據(jù)通過(guò)，僅是一個(gè)特例。需要說(shuō)明的是：95/98可以使用域用戶(hù)帳號(hào)登錄到域，但并不能加入到域，在AD 中也沒(méi)有計(jì)算機(jī)帳號(hào)，而NT 可以。

計(jì)算機(jī)加入域成功后，未重啟，即已在AD 用戶(hù)和計(jì)算機(jī)/computer容器下生成計(jì)算機(jī)帳號(hào)了，實(shí)驗(yàn)中查看時(shí)，需要手動(dòng)刷新一下。而在DNS 中記錄必須在計(jì)算機(jī)重啟后（不必登錄）或15分鐘后才能自動(dòng)注冊(cè)或更新到DNS 區(qū)域。但若我們平常修改一個(gè)計(jì)算機(jī)的名字或IP，要馬上更新到DNS 區(qū)域，倒不一定非得重啟，可利用ipconfig /registerdns 命令就行。明白以上討論可用于排錯(cuò)，不一定非得重啟登錄后才知道結(jié)果。

加入到NT4域時(shí)，需要有管理特權(quán)才行；從Windows 2000開(kāi)始，微軟作了改進(jìn)：在Windows 2000/03域中，默認(rèn)Authenticated Users 即可在域中最多創(chuàng)建10個(gè)計(jì)算機(jī)帳戶(hù)。Authenticated Users 指被驗(yàn)證的用戶(hù)組，也就是說(shuō)任何經(jīng)過(guò)身份驗(yàn)證的普通域用戶(hù)都可以加最多10臺(tái)計(jì)算機(jī)到域。常見(jiàn)問(wèn)題：在實(shí)際中用普通域帳號(hào)加計(jì)算機(jī)到域，有時(shí)會(huì)不好使，原因是同名計(jì)算機(jī)帳號(hào)（極可能是它自己已經(jīng)失效的計(jì)算機(jī)帳號(hào)）已存在而無(wú)權(quán)覆蓋，這時(shí)就得用域管理員帳號(hào)了。

（2）在加入域的計(jì)算機(jī)上，用域用戶(hù)帳號(hào)登錄到域。

說(shuō)明：

在域中的非DC 計(jì)算機(jī)上，可以選擇登錄到域或本機(jī)，這是因?yàn)樗瑫r(shí)還擁有本地用戶(hù)帳號(hào)。而在DC 上只能選擇登錄到域了，因?yàn)檎麄€(gè)域都是DC 的，它沒(méi)有必要再保留本地帳號(hào)了。2000是個(gè)紅叉，03干脆就沒(méi)有了。

安裝AD 時(shí)，會(huì)自動(dòng)刪除本地帳號(hào)，即使將來(lái)刪除AD，也無(wú)法將本地帳號(hào)復(fù)原，而是重新生成的。這一點(diǎn)一定要注意：如果本地有EFS 加密的文件，一定要將證書(shū)導(dǎo)出或?qū)⑽募饷芎螅僭谶@臺(tái)計(jì)算機(jī)上做AD 安裝實(shí)驗(yàn)。

在2000及以上計(jì)算機(jī)上登錄到域的過(guò)程是這樣的：域成員計(jì)算機(jī)根據(jù)本機(jī)DNS 配置去找DNS 服務(wù)器，DNS根據(jù)SRV 記錄告訴它DC 是誰(shuí)，客戶(hù)機(jī)聯(lián)系DC，驗(yàn)證后登錄。

（3）深入討論：

如果是在林中跨域登錄，是首先查詢(xún)DNS 服務(wù)器，問(wèn)林的GC 是誰(shuí)。

前面我們?cè)诓襟E（1）中強(qiáng)調(diào)“加入域前，首先將客戶(hù)機(jī)TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。”其實(shí)如果域中有多個(gè)DNS 服務(wù)器，也可以指向其它的DNS 服務(wù)器，當(dāng)然這些DNS 服務(wù)器之間得有區(qū)域復(fù)制關(guān)系。這樣做的目的恰恰是：大中型網(wǎng)絡(luò)為了平衡DNS 負(fù)載。

三、建立其它域控制器

前面我們討論了“建立第一個(gè)域中的第一臺(tái)域控制器”，分析得很細(xì)。以下相同知識(shí)點(diǎn)的內(nèi)容將不再贅述。

1、安裝附加DC

（1）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)AD 安裝向?qū)А?/p>

說(shuō)明：

將成為附加DC 的計(jì)算機(jī)，不必非得先加入域。

DNS 指向已有DC 所用DNS 服務(wù)器，以便找到已有DC。安裝結(jié)束后，一般應(yīng)該手動(dòng)在本機(jī)上再裝一個(gè)DNS 服務(wù)器，以實(shí)現(xiàn)DNS 的容錯(cuò)。

（2）選擇：現(xiàn)有域的額外域控制器

（3）輸入域管理員帳號(hào)，如：administrator，password，mcse.com（或mcse）。

常見(jiàn)找不到域的出錯(cuò)提示：域“mcse.com”不是AD 域，或用于域的AD 域控制器無(wú)法聯(lián)系上。

解決：確保DNS 指向已有DC 所用DNS 的服務(wù)器。

其它：Ping一下，檢查物理連通性。高級(jí)用戶(hù)是否設(shè)過(guò)TCP/IP篩選器或RRAS 篩選器。

（4）輸入域名，如：mcse.com。

（5）指定AD 庫(kù)和日志文件位置

（6）指定sysvol 文件夾位置

（7）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（8）目錄服務(wù)恢復(fù)模式的管理員密碼

（9）幾分后，安裝完成，需要重啟。

（10）手動(dòng)在本機(jī)上安裝DNS 服務(wù)器，以實(shí)現(xiàn)DNS 的容錯(cuò)。

A、開(kāi)始/設(shè)置/控制面板/添加刪除程序/Windows組件/網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（DNS）。

B、開(kāi)始/程序/管理工具/DNS

C、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“AD集成區(qū)域”，區(qū)域名：已有區(qū)域的名稱(chēng)，如mcse.com。自動(dòng)生成起始授權(quán)機(jī)構(gòu)（SOA）、名稱(chēng)服務(wù)器（NS）、主機(jī)（A）三條記錄，但此時(shí)SRV 記錄并未被復(fù)制過(guò)來(lái)。需要等待5-15分鐘后，利用刷新或重新加載就可以看到復(fù)制過(guò)來(lái)的DNS 記錄了（對(duì)于03馬上就可以看到復(fù)制過(guò)來(lái)的全部DNS 記錄）。深入討論：

03和2000比，功能更強(qiáng)大了。但在域和AD 的體系結(jié)構(gòu)上并沒(méi)有什么大的變化，而且MS 的產(chǎn)品十分講究向前兼容。在一個(gè)域中可以既有2000DC，又有03DC；也可以既有2000DNS，又有03DNS，并且DC 間的AD 復(fù)制，DNS間的區(qū)域傳輸，都好像沒(méi)有版本差異一樣。

在我們這里要說(shuō)的就是：2000可作為03域的附加DC，03也可以作為2000域的附加DC，但第二種情況需要在2000DC（SP2及更高）上運(yùn)行03光盤(pán)/I386/adprep命令來(lái)做準(zhǔn)備。具體第一步：adprep/forestprep進(jìn)行林準(zhǔn)備，第二步adprep /domainprep進(jìn)行域準(zhǔn)備。

2、建立子域

（1）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)AD 安裝向?qū)А?/p>

說(shuō)明：

DNS 指向林根域已有DC 所用DNS 服務(wù)器，以便找到已有DC。

保證域命名主控必須有效，它默認(rèn)在林根域的第一臺(tái)DC 上，且具有林唯一性。利用管理工具“AD域和信任關(guān)系”可轉(zhuǎn)移域命名主控。

（2）選擇：新域的域控制器，下一步，在現(xiàn)有的樹(shù)中創(chuàng)建一個(gè)新的子域

（3）輸入林管理員帳號(hào)，如：administrator，password，mcse.com（或mcse）。

常見(jiàn)出錯(cuò)提示：域“mcse.com”不是AD 域，或用于域的AD 域控制器無(wú)法聯(lián)系上。解決方法見(jiàn)前。

（4）輸入父域名，如：mcse.com；輸入子域名，如sub，注意不要輸成sub.mcse.com。

（5）指定AD 庫(kù)和日志文件位置

（6）指定sysvol 文件夾位置

（7）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（8）目錄服務(wù)恢復(fù)模式的管理員密碼

（9）幾分后，安裝完成，需要重啟。

如果域命名主控失效將會(huì)出現(xiàn)如下出錯(cuò)提示：“由于以下原因，操作失?。篈D無(wú)法與域命名主機(jī)xxx 聯(lián)系。指定的服務(wù)器無(wú)法運(yùn)行指定的操作?！?/p>

解決：保證域命名主控聯(lián)機(jī)，如果確信其已無(wú)法正常工作，可強(qiáng)制傳給林內(nèi)的任意一個(gè)DC，子域的DC 也可以。原來(lái)的主機(jī)將必須被重做系統(tǒng)后，才可連入網(wǎng)絡(luò)，以保證域命名主控的林唯一性。

深入討論：

關(guān)于子域（子Domain）所對(duì)應(yīng)的DNS 子區(qū)域（子zone）是否委派的問(wèn)題。（以下簡(jiǎn)稱(chēng)：子區(qū)域）

如果網(wǎng)絡(luò)規(guī)模不是很大，雖然實(shí)現(xiàn)了子域，但總部、二級(jí)單位的網(wǎng)管可能就是同一個(gè)人。這種情況下就不需要委派了。可以把區(qū)域、子區(qū)域都放在同一個(gè)DNS 服務(wù)器上，由同一名管理員來(lái)管理就可以了。默認(rèn)值即如此，不需要手動(dòng)設(shè)置。

如果網(wǎng)絡(luò)規(guī)模較大，且二級(jí)單位需要能夠控制自己的DNS 子區(qū)域，比如自己增加

www1,www2……這樣的主機(jī)記錄；在自己的子區(qū)域下再建子區(qū)域。這種情況下就需要委派子區(qū)域了，由二級(jí)單位的DNS 管理員自己來(lái)管理。否則二級(jí)單位涉及DNS 的每一個(gè)小變化，都需要找總部DNS 管理員批準(zhǔn)。

子區(qū)域委派，操作步驟如下：（最好按如下步驟進(jìn)行，不容易出問(wèn)題）

A、DNS指向林根域（如：mcse.com）已有DC 所用DNS 服務(wù)器

B、利用AD 安裝向?qū)?，安裝子域（如：sub.mcse.com），重啟機(jī)。

C、在林根DNS 控制臺(tái)上查看，確保已在mcse.com 生成子文件夾sub，且sub 下有4個(gè)以下劃線開(kāi)頭的，保存有SRV 記錄的子文件夾（_msdcs、_sites、_tcp、_udp）已生成；sub 下還應(yīng)有如下2條A 記錄：（第二條記錄如果未生成，手動(dòng)補(bǔ)上也可以。）

（與父文件夾相同）主機(jī)IP

SUBdc 主機(jī)IP

D、在父域（如：mcse.com）右鍵/新建委派/下一步/子區(qū)域名：sub。（不必?fù)?dān)心重名，因?yàn)槲赏瓿珊螅翌伾奈傻膕ub 夾將取代黃顏色的sub 夾，但注意操作過(guò)程中會(huì)共存一段時(shí)間）接下來(lái)，指定負(fù)責(zé)子區(qū)域的名稱(chēng)服務(wù)器：SUBdc.sub.mcse.com及它的IP，以生成粘合記錄，下一步，完成。

E、在子域DC 上安裝DNS，操作：開(kāi)始/設(shè)置/控制面板/添加刪除程序/Windows組件/網(wǎng)絡(luò)服務(wù)/域名系統(tǒng)（DNS）。

F、開(kāi)始/程序/管理工具/DNS

G、正向搜索區(qū)域/右鍵/新建區(qū)域，建議選擇“AD集成區(qū)域”，區(qū)域名：sub.mcse.com。自動(dòng)生成SOA、NS、A、A四條記錄（后兩條A 記錄，如C 步中述），此時(shí)SRV 記錄也被復(fù)制過(guò)來(lái)了。

H、在DNS 服務(wù)器的計(jì)算機(jī)名上/右鍵/屬性/轉(zhuǎn)發(fā)器：指向上一級(jí)或林根DNS 的IP。

I、將子域DC 的DNS 指向自己，以后加入子域的計(jì)算機(jī)也使用子域的DNS，以實(shí)現(xiàn)DNS 分擔(dān)負(fù)荷。（當(dāng)然，子域中的計(jì)算機(jī)可以使用林中任一臺(tái)DNS，也都好使）

注意：

由上述過(guò)程，大家可以了解到，做為被委派的DNS 子區(qū)域的二級(jí)單位DNS 管理員，是不能隨意更改自己的DNS 服務(wù)器的。比如修改DNS 服務(wù)器的IP，需要通知上級(jí)管理員，及時(shí)更新委派子區(qū)域的NS 記錄，否則林中其它用戶(hù)就會(huì)找不到你這個(gè)子域的計(jì)算機(jī)。

3、新域—新樹(shù)—加入林

此種情況平常較少用到，因?yàn)橐话闫髽I(yè)只用一套命名體系，很少采用兩上或兩個(gè)以上的樹(shù)。微軟舉的例子：一個(gè)大企業(yè)兼并另一企業(yè)，并且想保留它的命名體系，技術(shù)上對(duì)應(yīng)實(shí)現(xiàn)就是目錄樹(shù)和DNS 名稱(chēng)空間。

說(shuō)明：此種應(yīng)該預(yù)先建好DNS 正向搜索區(qū)，因?yàn)樗荒芟窠ㄗ佑蚰菢?，利用AD 向?qū)ё詣?dòng)在已有DNS 區(qū)域中創(chuàng)建子區(qū)域。下面以前文中的mcse.com，sub.mcse.com，my.com 圖示為例進(jìn)行說(shuō)明。

（1）在林根DNS 上，與mcse.com 并列，創(chuàng)建區(qū)域my.com，最好選AD 集成區(qū)域。

（2）以本機(jī)管理員身份登錄，在獨(dú)立或成員服務(wù)器上，啟動(dòng)AD 安裝向?qū)А?/p>

說(shuō)明：

DNS 指向林根域已有DC 所用DNS 服務(wù)器，并保證域命名主控必須有效。

（3）選擇：新域—新樹(shù)—加入林

（4）輸入林管理員帳號(hào)，如：administrator，password，mcse.com（或mcse）。說(shuō)明：

輸入的欲登錄的林根域名，也就告訴了系統(tǒng)要加入哪個(gè)林。

（5）輸入新域的DNS 全名，如：my.com；域NetBIOS 名：MY。

（6）指定AD 庫(kù)和日志文件位置

（7）指定sysvol 文件夾位置

（8）一般選：“與Windows 2000服務(wù)器之前的版本相兼容的權(quán)限”

（9）目錄服務(wù)恢復(fù)模式的管理員密碼

（10）幾分后，安裝完成，需要重啟。

說(shuō)明：

用預(yù)建DNS 這種方式加入林，使用的是林根上已有DNS 服務(wù)器，所以此計(jì)算機(jī)在林根DNS 的my.com 區(qū)域下，僅生成一條主機(jī)（A）記錄（如需要可手動(dòng)添加：treedc 主機(jī)IP），SOA 和NS 記錄都是林根DNS 服務(wù)器，但在my. com 區(qū)域會(huì)有相應(yīng)的SRV 記錄來(lái)標(biāo)識(shí)它是這個(gè)樹(shù)根域的DC。這種并沒(méi)有實(shí)現(xiàn)DNS 的分擔(dān)負(fù)荷，如想實(shí)現(xiàn)，利用輔助區(qū)域來(lái)做。

實(shí)驗(yàn)中發(fā)現(xiàn)：萬(wàn)不可像全新安裝那樣，在安裝過(guò)程中，選擇在本地安裝一個(gè)DNS，這樣將會(huì)這把個(gè)樹(shù)根域安裝成一個(gè)獨(dú)立的林根域。原因嗎？去問(wèn)微軟吧。

四、卸載AD